최근 발생한 리졸브(Resolv) 해킹 사건은 디파이(DeFi) 생태계의 리스크 관리 시스템이 여전히 취약하다는 사실을 다시 한번 상기시켰다. 수차례의 보안 감사와 리스크 분석을 걸쳐도, 단 한 번의 사고가 스테이블코인의 가치 붕괴와 연쇄적 피해로 이어질 수 있다는 구조적 문제는 계속해서 반복되고 있다. 이번 사건은 “잘못될 수 있는 일은 반드시 잘못된다”는 머피의 법칙이 디파이 환경에서 특히 빈번히 적용된다는 신념 하에 발생한 것으로 볼 수 있다. 코드가 공개되어 있고 검증 절차가 존재하더라도, 운영 시스템과 권한 설계가 부실하면 방어선은 한순간에 무너질 수 있다.
이번 해킹에서 공격자는 프로젝트의 프라이빗 키에 접근하여 담보 없이 약 8000만 달러 어치의 USR 스테이블코인을 발행했다. 이후 공격자는 이를 이더리움(ETH)으로 교환하면서 USR의 1달러 패그가 붕괴되었고, 공격자가 최종적으로 빼돌린 금액은 약 2300만 달러에 달하는 암호화폐로 추정된다. 현재 USR의 상장가는 1달러에 연동되어야 하지만 0.2달러대에서 거래되고 있는 상황이며, 추가 피해를 막기 위해 발행(mint) 및 상환(redeem) 기능은 중단된 상태이다. 이 사건의 유출액을 환산하면 약 346억원에 해당한다.
해킹의 피해는 리졸브 랩스와 USR 보유자에 그치지 않았다. USR을 통합한 여러 디파이 프로토콜들이 영향을 받으며, 디파이의 상호 연결성이 위기 확산의 경로가 될 수 있음을 다시 한번 확인하게 했다. 특히 일부 프로토콜은 제3의 자산 운용사가 맞춤형 대출 시장을 구성하는 ‘큐레이터 모델’을 활용하고 있어, 기초 자산의 리스크 평가가 잘못될 경우 연쇄 청산과 유동성 이탈로 이어질 위험이 상존한다. 게이트 벤처스의 매니징 파트너인 케빈 양은 이번 해킹 사건을 단순한 코드 취약점의 결과가 아니라, 디파이가 리스크를 가격에 제대로 반영하지 못하는 ‘구조적 실패’로 보고 있다.
디파이 리스크 평가 회사인 크레도라는 이 사건이 두 가지 주요 문제를 드러냈다고 분석했다. 첫째, 막강한 발행 권한을 가진 단일 특권 접근 키로 인해 높은 운영 리스크가 발생했다는 점이며, 둘째, 키가 탈취되더라도 피해를 제한할 온체인 안전장치가 부재했다는 것이다. 이외에도 크레도라는 리졸브의 스마트 컨트랙트가 여러 보안 회사를 통해 감사받았음에도 불구하고 해당 특권 키의 취약점이 사전에 확인되지 않았다고 밝혔다.
이용자들은 추가 손실을 피하기 위해 영향을 받은 볼트에서 유동성을 회수하라는 권고를 받고 있으며, 리졸브 측은 해커에게 이더리움의 90%를 반환할 경우 추적을 중단하겠다고 발표했다. 그러나 이러한 사고가 발생한 시점에서 미국의 규제 환경이 호전될 것이라는 기대와 대비하여, 가격 하락 및 업계 구조조정의 여파로 단기적으로 디파이 생태계의 ‘신뢰 프리미엄’이 대폭 훼손될 것이라는 우려의 목소리가 커지고 있다.
결론적으로, 이번 리졸브 해킹 사건은 디파이 생태계에 대한 신뢰를 더욱 약화시키며, 특히 코드 감사만으로는 운영 내의 리스크를 충분히 관리할 수 없다는 점을 명확히 했다. 따라서 투자자들은 스테이블코인 투자 시 발행 및 상환 중단과 같은 비상조치 발생 가능성을 인식하고, 즉시 출금 가능성, 연동 자산 구조, 그리고 통합된 타 프로토콜의 노출도를 꼼꼼히 확인해야 할 필요가 있다. 디파이 프로토콜의 투자와 운영 방식에서도 ‘특권 키’와 관련
